我一直在寻找为（开放）PGP 生成非对称密钥对的操作安全指南。例如，我找到了大量关于如何使用 GnuPG 生成 RSA 密钥对的技术指南，但没有太多关于如何安全地生成密钥对的有组织的内容。

用例是希望使用非对称加密对电子邮件和其他文件类型进行签名、加密和解密的普通用户。创建密钥对的威胁模型不包括必须抵御三字母机构、有组织犯罪、恐怖分子或恶意公司（即，不需要雇佣保镖或获得 24/7 全天候服务）安全系统）。

我从网上的各种来源（包括非常有用的 GnuPG 邮件列表和文档、Debian Wiki、RiseUp.net和本指南）收集了以下步骤作为一般指南，但我不确定我是否遗漏了什么。在这种情况下还需要考虑什么？

1. 查找您认为相对没有恶意软件的计算机
2. 下载 Live Linux 发行版 CD/DVD/USB，并验证其签名以确保您没有安装受污染的版本
3. 启动经过验证的 Linux 发行版
   1. 在继续之前确保发行版与任何网络连接完全断开
   2. 通过编辑 .gnupg/gpg.conf 文件来配置 GnuPG 以遵循此处的指南
4. 使用 GnuPG 创建私有 RSA 密钥和两个子密钥（签名和加密）
   1. 在（公共）子密钥上设置到期日期
   2. 创建主私钥的纸质和数字备份
   3. 将备份存储在两个不同的物理位置，因此不会出现单点故障
   4. 为私有主密钥创建吊销证书
   5. 创建吊销证书的纸质和数字备份
   6. 将备份存储在两个不同的物理位置，因此不会出现单点故障
5. 从钥匙串中剥离主私钥
6. 将没有主私钥的 GnuPG 钥匙串复制到工作计算机、个人笔记本电脑等。